Zum Inhalt springen

IPsec innerhalb eines LANs?


TheManWho

Empfohlene Beiträge

Hi,

IPSec auf Anwendungen zu redizieren macht wenig Sinn. Die Netzauslastung kann auch nicht beeinträchtigt werden, da das einzige was mehr Last gegenüber normalen Verbindungen existiert, die Authentifikation ist, die je nach Modus (Main - 6 Packete, Agressive - 3 Packete) auch nicht sehr belastet. Unterschied ist lediglich, das die Packete danach verschlüsselt übertragen werden, und somit Rechenlast auf den Verbindungspartnern erzeugt wird.

Allgemein kann man sonst recht wenig über Auslastung darüber sagen...

gruß gurkenpapst

Link zu diesem Kommentar
Auf anderen Seiten teilen

OK - aber kann man sagen, dass es allgemein nicht üblich ist innerhalb eines (firmeninternen) LAN zu verschlüsseln (per IPsec)? Bei uns ist das nämlich so und unser Admin argumentiert mit einer erhöhten Netzauslastung. Nach außen ist unser Netz natürlich mit einer Firewall abgesichert und ausgehende Pakete werden auch verschlüsselt.

Stellt das also ein Sicherheitsrisiko dar, wenn man intern nicht verschlüsselt oder ist das üblich?

Link zu diesem Kommentar
Auf anderen Seiten teilen

@gurkenpapst:

Die Aussage ist etwas allgemein, da der Overhead davon abhängt, in welchem Modus IPSec verwendet wird (AH/ESP/Tunnel/Transport usw). Ausserdem wird der Overhead nicht allein durch die Authentifizierung erzeugt (worauf bezieht sich denn die von Dir genannte Paketanzahl?), sondern auch durch den zusätzlichen Header in den IP-Paketen. Die Größe des zusätzlichen Headers kann durchaus im Bereich 30-70 Bytes liegen, bei kleine Paketen (IP-Telefonie) bedeutet das fast eine Verdoppelung der Paketgröße! Auf der anderen Seite könne große Pakete ebenfalls ein Problem darstellen, da der zusätzliche Header dazu führen kann, das fragmentiert werden muss.

Im Tunnelmode kommt eine nicht unerhebliche Belastung für die Router hinzu (abhängig von der Anzahl der Tunnel), aus dem Grund gibt es für größere Router auch Hardwaremodule, die die Ver- und Entschlüsselung übernehmen.

Näheres bei der IPSec-WG der IETF: http://www.ietf.org/html.charters/ipsec-charter.html

@TheManWho:

Genaue Angaben sind schwer zu machen, da dies von Deine Erfordernissen (und den Anwendungen abhängt). Generell kommt aber ein Overhead dazu, allein durch den zusätzlichen Header. Innerhalb eines Firmenlans ist der Einsatz von IP-Sec eher unüblich, da hier Sicherheit auch durch andere Mechanismen erreicht werden kann (beispielsweise durch eine logische Trennung der betroffenen Netze).

Nic

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hallo,

Das hängt von Eurer Anwendung und den Anwendungsszenarien ab. Wenn Ihr beispielsweise nur ein gemeinsames Netz verwendet in dem alle Systeme hängen, kann es durchaus sinnvoll sein zu verschlüsseln (beispielsweise wenn die Personalabteilung personenbezogene Daten abfragt, in dem Fall muss die Vertraulichkeit gewährleistet sein). Sofern bei Euch die Datenbankabfragen verschlüsselt werden, wird es dafür auch einen guten Grund geben.

Nic

Link zu diesem Kommentar
Auf anderen Seiten teilen

Originally posted by TheManWho

...ich könnte also in meinem abschlussprojekt damit argumentieren,

In der Doku? Hängt von der entsprechenden Firma ab.

Ich würde deiner Argumentation zustimmen, sofern ale Clients und Server in der selben Unternehmung sind (also eventuell selbes Gebäude). Der Datenschutz wird hier bereits auf andere Art und Weise geregelt (Arbeitsverträge / Netzwerkrechte etc.).

Sofern aber der Server irgendwo im Süden von Deutschland steht, der Zugriff aber im Norden von Deutschland erfolgt (also mehrer Unternehmen bzw. Niederlassungen) und trotzdem alles intern (also Intranetmässig) ist, ist die Begründung wirklich stichhaltig nach aussen zu vertreten.

Zugriff kann dabei auch firmenintern von nicht autorisierten Personen (andere Niederlassung?) erfolgen.

Und siehe auch @nic_power.

Link zu diesem Kommentar
Auf anderen Seiten teilen

nee!

der zugriff erfolgt nur innerhalb des hauses - quasi vom keller in die zweite etage!

von außerhalb gibts natürlich keinen zugriff und die daten, die an unsere fillialen übertragen werden, werden per vlan übertragen und damit natürlich verschlüsselt.

ich hoffe die ihk ist nicht zu streng... verschlüsselung im haus muss ja nun wirklich nicht sein.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Originally posted by nic_power

@gurkenpapst:

worauf bezieht sich denn die von Dir genannte Paketanzahl?

Beim Aushandeln mit ISAKMP gibt es verschiedene Modi für den Austausch. Beim Aggressive Mode werden beispielsweise SA-, Schlüsselaustausch- und Auth.-relevante Daten in einem Packet gesendet und somit die anzahl der Pakete von 6 auf drei reduziert (genau stehts hier drin http://www.ietf.org/rfc/rfc2408.txt ).

Main- und aggressive mode sind die für IPSec üblich verwendeten.

Zu dem Rest mit dem Overhead hast du natürlich Recht. Daran habe ich nicht gedacht.

gruß gurkenpapst

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...